

InterSec 、 

シリ■ズについて 


本製品や添付のソフトウエアの特長、導入の際に巧っておいていただきたい事柄について説明します。 


Interbec シリーズとは（一2へージ） . 

. InterSec シリーズの紹介と製品の特長-機能じつ 

いて説明しています。 

Express 5800 / SG 30 日について（^4ぺージ） ......... 

. 本製品の機能と特長について説明します。また、 

製品サポートやサービスの内容についてち説明し 
ています。 


添付のディスクについて （^10 ぺージ) 


本体に添付のディスクの紹介とその説明でず。 








InterSec シリーズとは 


けール.イン.ワン」から r ビルドアップ」へ。 
お客様の運用目的に特化した設計で、か要のないサー 
ビス/磯能を省き、セキュリティホールの可能性を低減 
し> インターネットおよびイントラネットの構築時に 
不可欠なセキュリティについて考慮して設計されたイ 
ンターネットセキュリティ製品です。 




1台のラックにそれぞれの機能を持つ装置を搭 
載(卓上設置ち可能.またクラスタ構成可能） 


InterSec シリーブの主な特長と利点は次のとおりです。 

• 省スぺース 

設置スペースを最ル限にかえたコンパクトな崖体を探用。 

• 運用性 

運用を容易にする管理ツール。 

• クイックスタート 

ウィザードおまの専用設をツールを標準装備。短時園でセットアップを完了しまず。 

• 高い化張性 

専用機として、機能ごとに単体ユニットで動作させているためじ用途に応じた機能化張が容易に可能で 
す。また> 複数ユニットでクラスタ構成にすることによりシステムを拡張していくことができます。 

• コストパフォーマンスの向上 

運用目的への最適なチューニングが行えるため、単機能の動作において高い性能を殖保できます。ま 
た、単機能動作に必要な環境のみ提おできるため、余剰スペックがな<ほコスト化が実現されます。 

• 管理の容易性 

環境設定や運用時における管理情報など、単機能が動作するに'必要な設定のみです。そのため、導人- 
運用管理が容易に巧えます。 
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InterSec シリーズには > 目的や用途に応じて次のモデルが用意されています。 

• SG シリーズ（ファイアウォール） 

インターネットと接続した中ル規模の企業ネットワークを外部か6の不正なアクセスか6守るファイア 
ウォール専用機でず。 

• FW シリーズ（ファイアウオール） 

Checkpoint Firewall - 1を搭載し、高度なアクセス制御が巧能な、大中規模の企業ネットワーク向けの 
ファイアウォール専用機でず。 

• LB シリーズ（□-ドバランサ） 

複数台の Web サーバへのトラフィック（要求）を整埋し、負荷分散によるレスポンスの向上を目的とし 
た装置です。 

• MW シリーズ(メール/ WEB ) 

Web や FTP のサービスやインターネットを利用した電子メールのを受信や制御などインターネットで 
必要となるサービスを提供する装置でず。 

• CS シリーズ(プ□キシ） 

Web アクセス要求におけるプ□キシでのヒット率の向上（フォワードプ□キシ）、 Web サーバの負荷軽 
減' コンテンツ保護（リバースプ□キシ）を目的とした装置です。 

• VC シリーズ（ウィルスチェック） 

インターネット経由で受け;度しされるファイル履子メール添付のファイルや Web / FTP でダウン □— 
ドしたファイル）からを種ウィルスをお化/除去し、オフィスへのウィルス侵人、外部へのウィルス流 
化を防ぐことを目的とした装置です。 


InterSec シリ—ズについて 
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Express580C)/SG3 日日について 

本装置の概略と運用にを要な情報を記します。 



Express 5800 / SG 300は、 NEC 独自のファイアウォールエンジンを搭載し、 Virtual Private 
Network ( VPN ) 機能、ホスト型 IDS 機能を装備したセキュリティアプライアンス機器です。 
内部ネットワーク(せ内 LAN など)と外部ネットワーク（インターネットなど)との間のアクセ 
スを制御し、外部か6の不正な侵入を防ぎます。さ6に、 VPN 機能じよる适信の暗号化や 
ユーザ認証などを使って，インターネットなどの公ホのネットワーク上に、仮想的なユーザ 
専用のネットワークを実現することを可能にします。 

設を•運用-管理を Management Console (WEB ベース GUI ) に集約することで容易であま 
な導人を実現し> 設置したその曰から安全なネットワーク環境を提供します。 



Express 5800 / SG 300が提供するファイアウォールの特徴は次のとおりです。 

• アクセス制御 

ステートフルインスペクション(通信を巧うときだけあ要なポートを開く機能）により、 
高度なアクセス制御を可能とし、ユーザのセキュリティポリシに沿ったセキュアなネッ 
トワークを実現します。 
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• アドレス変換機能 ( NAT / NAPT ) 

外部ネットワークと内部ネットワークとの相互通信を巧能とするため、アドレス変換機 
能を実現していまず。 

• 通信量制限機能 

ネットワークインターフェースごとに、通過するパケットの総量を制限することが可能 
でず。これにより、アクセス過をによるサーバをダウンさせる DoS(Denial of 
Services ) - DDoS(Distributed Denial of Services ) などの攻擊が行われた場合にも、パ 
ケット量を制限し，サーバがダウンずることを防止します。 

• 不正アクセス対策 

-オートディフェンス機能 

攻撃をは、ウェブサーバやメールサーバの持つ脆弱性をついた攻擊を斤う前に、ど 
のサーバでどのサービスが稼動しているか事前に調査（ポートスキャン）しますが、 
Express 5800 / SG 300ではその事前調査活動をお化し，あたかもウェブサーバや 
メールサーバが数をくを在するかのように応答し、実際にサービスが稼動している 
サーバの発見を困難じさせることが可能でず。さ6にお化後> そのホストか6のア 
クセスを一を時園すベて玻棄します。 

ーステルススキャン 横化機能 

ステルススキャンはポートスキャンと同様に、不正侵人のための前準備として巧わ 
れます。通常□グなどにお跡を残さないためその発見が困難となります。 Ex - 
press 械〇 0/ SG 300では、ステルススキャン特有の正常でない通信を検化し、該当 
パケットの玻棄と□グを化力することが巧能です。 

— Ping Sweep 対策機能 

不正侵入のための前準備として、どのようなホストが稼動しているか調査するため 
に、円 ng Sweep などが行われまず。円 ng Sweep は、ある範囲の IP アドレス巧に 
ping を送化し、応答を確認ずることで、ホストの存在を調査ずるものです。 Ex ¬ 
press 5800 / SG 300 では、 円 ng Sweep をお化し、該当パケットの巧棄と□グを化 
力ずることが巧能です。 

- SYN 円 ood 対策機能 

SYN 円 0 od は、 DoS 攻撃の一種で、サーバのリソースを消費し、サービスの提供を 
できなくする攻擊です。 Express 5800 / SG 300では、 SYN 円 00 d 攻擊をお化し□グ 
を化力します。この機能により、夕ーゲットとなったホストを守ることが可能でず。 

—IP Spoofing 対策機能 

IP Spoofing は、パケットの発信元を詐称する手まです。不正なアクセスを、あたか 
も内部か6の許巧されたアクセスであるかのように見せかけ、内部ホストに対する 
攻撃を可能にします。 Express 5800 / SG 300では、ルーティング情報などを元に IP 
Spoofing をお化し、該当パケットの巧棄と□グを出力することが巧能です。 
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— traceroute ステルス磯能 

あるホストまでの経路や時聞を植認するために一般的に使われる traceroute コマン 
ドにより、経路の途中にファイアウォールがを在することを殖認できまず。 Ex ¬ 
press 5800 / SG 300 では、 t 「 ace 「 oute 〕7> ドじ対してもその存在を隠すことが巧 
能でず。これじより，悪意を持ったクライアントから，攻擊の対まとなる可能性を 
低減し自分自身わ守ることが可能でず。 

• ユーザ管理機能 

あ6かじめをめ6れたユーザに対してのみに> ファイアウォール機能によって守6れた 
サービスを公開するため> その許可されたユーザ情報の管理、およびファイアウォール 
を适過するためのユーザ認証を行います。 

• URL フィルタ U ング機能 

あらかじめ URL を設定しておくことで、その Web サイトへのアクセスを制限できます。 
これによりインターネット上の巧ましくない Web サイトや業務に関係無い Web サイトへ 
のアクセスをブ□ックし、教育環境-作業効率の向上が見込めます。 

• VPN 機能 

VPN とは，インターネットのような公巧のネットワーク上に、仮想的なユーザ専用の 
ネットワークを実現する仕組みです。これにより，公ホネットワーク上で起こりうる、 
通信の盗聴' 改ざん' なりすましなどの危険性を排除することが巧能です。 
Express 5800 / SG 300では、通信柜手との LAN 間接続 VPN を構築することが可能であ 
り，安価に VPN 網を実現し、セキュアな届信環境を実現できます。 

• Management Console 

基本的なネットワークの設定か6、ファイアウォールのセキュリティポリシの設走まで 
巧うことのできる、統一されたウェブブラウザベースのユーザインターフェースでず。 

• 導入の容易性 

巧期導人設定ツール、基本設定ツール 、 Management Console (かんたん設定/詳細設 
定)により、ファイアウォールなどをあった経験のまいユーザでも簡単に導入、運用を開 
始することができまず。また、ネットワークインターフェースを4ポート装備しているの 
で、八ードウェアの追力□購入をすることなく DMZ の構築が巧能です。 

•ホットスタンバイ構成び巧能 

二重化機能を標準でサポートしています。 SG 300 を2台使用することでホ、ソトスタンバ 
イ運用を実現し、可用性を高めます。 
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ライセンスキー 


本製品を利用するためには、ライセンスキーの人手が必要となります。ライセンスキーを入 
手するためには、製品に同捆されているライセンス申請書に情報をご記入の上、ライセンス 
申請書に記載された巧先までを付してください。約5営業曰程度で e - mail にてライセンスキー 
を通®いたします。 通がされたライセンスキーは重要な情報ですので、大切に保管してくだ 
さい。 

ライセンスキーは，サポートサービス製品を賭人いただき、サポートサービス申請をしてい 
ただ< 際にも必要な情報となります。 



アサポートサービス 


Express 5800 / SG 300のソフトウエアおよび OS をサポートずるためには^下の製品の購入 
が必須となります。 

EXP 58 /SG (1 年間）ソフトウェアサボートサービス 


サービス内容 

Express 5800 / SG 300のソフトウ王アおよび OS について、お客様(担当の NEC 営業 / SE 
を含む)か6の電話、電子メールおよび FAX による聞い合わせを行うことができます。 

また，インターネットを利用して，ソフトウェアおよび OS を利用可能な最新の状態へお 
償でアップデートすることができます。 




A - ドウエア関ずるヴービスは別を留品を手配いただく必要びありまず。 
ソフトウエアサボートサービスはオンサイトサービスを含んでお0ません。 


サービス有効期間 

ユーザ登録完了後、1年聞です。 

ソフトウエアサポートサービスをご利用いただくには、巧年度分か6サポートサービス 
製品を手配していただ < '必要がありまず。 

また、サービス有効期聞終了後も継統してサービスを受けるためには、サポートサービ 
ス製品を再度ご購入いただ< 必要があります。 

サービス受付時間 

魄社の営業日のうち、 AM 9:00 ~AM 12:00 - PM 1: 00 ~ PM 5:00 です。 

問い合わせ窓□のご案内 

お客様の登録が完了され次第、ごま内します。 


InterSec シリ—ズについて 
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• 問い合わせサポート範囲 

Express 5800 / SG 300にあ6かじめインストールされているソフトウェアおよび添付さ 
れている NEC 製のソフトウェアじついてのお聞い合わせに対応いたします。お客様の都 
合により，ソフトウェアを追力□または変更した場合、本サービスの対象外となります。 

• サービス開始手続を 

サポートサービス製品に同捆されている r ソフトウェアサポートサービス申請書」に必要 
事項をご記人の上、 Fax にて送付してください。申請書にはライセンスキーおよびサービ 
ス開始希望日を記入する欄などがあります。すぺての項目がサービスを開始ずるにあた 
りあ要な情報でずので漏れな < ご記人< ださい。 

お客様登録完了後， Express 5800 / SG 300じ段人ずるサポートキーおよび登録完了のお 
巧6せが送付されます。 

M -0 サボートサービスをご発ミちいただいてか S お客様への導入時まで①ヴービスは r 暫定ヴ 
ポートサービス J としてサービスを提供さはていただきまず。ただし、暫定サボート 
サービス提供期間は最長3力月とをせていただきまず。 

「ソフトウエアサボートサービス申請書 J はお客様ごとに異なつたちのとなつており、複 
写しての使巧はできません。 


• 暫定サポートサービス 


サポートサービス製品購人日かソフトウエアサポートサービス申請書にご記人いた 
だいたサービス開始希望日までの闇、暫定サポートサービスとして対応いたします。た 
だし、最長3力月を限度として、技術的な Q & A を提供します。 

• サービス継続手続を 

サービス有効期圍 （1 年聞)終了後わサービスを継続するためじは、巧規じサポートサービ 
ス製品を購入する'必要があります。 

また，継続のためにサポートサービス製品を購入いただいた場合じは，サービス有効期 
聞終了時にさかのぼって開始されます。前回の有効期闇が切れる前にサポートサービス 
の購入を行ってください。 
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注意-制限事頃 


t (下に示すを意'制限事項をお認の上、本装置を取りあってください。 

• ソフトウェアアップデート機能を使用するには、ソフトウェアサポートサービスを購入 
し、有効なサポートキーを本製品にお入ミ斉みであることがあ要です。 

• ソフトウェアのアップデートを巧うことで、設定画面等が本書の内容と異なる場合があ 
ります。その場合の操作ち法についてはアップデート後の Management Console のへル 
プを参照してください。 

• ユーザ認証の要求経路によって適用するルールを動的に変更ずることはできません。 

• 設を管理用にブラウザの利用できる環境が必、要でず。 t (下のブラウザを推奨します。 

Microsoft Internet Explorer 6.0 SP 1 (日本語版- Windows 版） 

• ユーザ認証を行うには、ブラウザの利用できる環境が'必要です。 ti 下のブラウザを推奨 
します。 

Microsoft Internet Explorer 6.0 SP 1 (日本語版- Windows 版） 

• ユーザ認証時に、ユーザが利用している端末と本製品との闇にソースアドレスを置き換 
えるゲートウェイが設置されている場合、そのゲートウェイを越えての認証はできませ 
ん0 

• システムの基本設を(インタフェースアドレス、ルーティング情報など)についてはあず 
Man 明 ement Console の「基本設走」で巧うか、またはシリアルコンソールか 6 sgsetup 
コマンドを実巧して変更してください。 

• マルチキャスト通信には対応していません。 

• リモートアクセス VPN にはいくつかの制限事項があります。詳細については弊社営業担 
当または SE までお問い合わせください。 

• VPN 通信を行うネットワークの途中にアドレス変換 ( NAT / NAPT ) を行う機器があると 
VPN 通信は行えません。 

• 二重化構成でフェイルオーバが発生した場合、接続されていたセッションは切断されま 
す。 


InterSec シリ—ズについて 


9 





添付のディスクについて 

本装置にはセットアップやな守-管理の隐に使用する CD - ROM やフ□、ソピーディスクが添付されていま 
す。ここでは、これ6のディスクに格納されているソフトウェアやディスクの用途について説明します。 

I H-O 添付のフロッピーディスクや CD - ROM は、システムの設定び完了した;窒でも、システムの 
再インストールやシステムの保守-管理の際に使庙ずる場合びありまず。なくさないよラに 
大切にな管しておいてください。 


• バックアップ CD-ROM 

システムのバックアップとなる CD - ROM でず。 

バックアップ CD - ROM には、システムのセットアップにあ要なソフトウェアやを種モジュールの化に 
システムの管理-監視をずるための専用のアプリケーシヨン rESMPRO / ServerAgent 」 と「エクスプレ 
ス通報サービス」が格納されています。システムに備わった RAS 機能を十分に発揮させるためにぜひお 
使いください。 ESMPRO / ServerAgent の詳細な説明はバックアップ CD - ROM 巧のオンラインドキュ 
メントをご覧ください。エクスプレス通報サービスを使用するには別途契約があ要です。お買い求め 
の販売店または保守サービス会社にお問い合わせください。 

• EXPRESSBUILDER ( SE ) CD-ROM 

本体およびシステムの保守-管理の隐に使用する CD - ROM です。 

この CD - ROM には次のようなソフトウェアが格納されていまず。 

- EXPRESSBUILDER ( SE ) 

再セットアップの際に装置の維持.管理を行うためのユーティリティを格納するためのパーティ 
シヨン(保守パーティシヨン）を作成したり、システム診断やオフライン保守ユーティリティなどの 
保守ツールを起動したりするときに使用します。詳細は5章を参照してください。 

— DianaScope 

システムが立ち上が6ないようなときに、リモート ( LAN 接続または RS -232 C ケーブルじよるダイ 
レクト接続)で管理 PC か6本装置を管理する時に使用するソフトウェアです。詳細は5章を参照し 
て < ださい。 

— ESMPRO/ServerManager 

ESMPRO / ServerAgent がインストールされたコンピュータを管理しまず。詳細は 
EXPRESSBUILDER ( SE ) CD - ROM 内のオンラインドキュメントを参照してください。 


• 再インス!ル用ディスク（フ□ッピーディスク） 


再インストールの際に使用ずるフ□、ソピーディスクです。なくさないよう、大切に保管しておいてくだ 
さい。 

• 巧]期導入設定用ディスク（フ□ッピーディスク） 

Express 5800 / SG 300の初期導入時の設ををずるためのフ□、ソピーディスクです。 
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